流量包分析

http.request.method==”POST” and http contains

19154337_6490072934feb23186

  1. 首先第一个问题显而易见是Nmap的端口扫描和服务识别,且tcp contains "nmap"可以流量中发现很多Nmap关键字

  2. 从流量整体来看,大部分流量包并没有建立起TCP全连接,所以这里应该是TCP SYN扫描,也叫半连接扫描或者半开放扫描

  3. 一直在尝试对其他IP发起TCP连接的扫描的IP也显而易见就是192.168.0.4

  5. TCP扫描端口,如果端口开放,则服务端会返回SYN + ACK标志位都处于Set状态的包

  6. 从一道题分析Nmap SYN/半连接/半开放扫描流量_TCP半连接扫描_02

  7. 利用过滤器:tcp.flags.syn==1 and tcp.flags.ack==1,过滤出两个标志位都处于Set状态下的包,然后包中的源端口即是扫描到的开放端口:80、135、139、445、3389、3306、49157、49165、49155、49154、49153、49152

  8. 从一道题分析Nmap SYN/半连接/半开放扫描流量_半开放扫描_03

  10. tcp contains "Apache"查找关键字即可在HTTP响应头中发现Apache/2.4.23

  11. 从一道题分析Nmap SYN/半连接/半开放扫描流量_TCP半连接扫描_04

nmap开放端口筛选:

1
tcp.flags.syn==1 and tcp.flags.ack==1